网上支付的安全使用

《网上支付的安全使用》由会员分享，可在线阅读，更多相关《网上支付的安全使用（59页珍藏版）》请在金锄头文库上搜索。

1、 讨论：使用网上支付时你最担心 哪些问题呢？请给丁 汇100 元乙甲请给丁 汇100 元请给丙 汇100 元丙请给丙 汇100 元案例：利益驱使手机病毒吸金 “移动支 付”真的安全吗？ 8月底，一款名Android.Troj.SMSZombie.a的手机 僵尸病毒开始蔓延，其主要的破坏行为是窃取用 户隐私，包括中毒手机串号、SIM卡序列号、手机 号、网络类型、手机型号、联网类型等信息。更 严重的是，该病毒可针对网银、支付、汇款等高 度机密信息进行盗窃。有调查数据显示，国内 手机用户最担心的问题 中，手机支付安全性占 比达55.1%。 据曾经在一家中小型SP服务商工作过的伍小姐介绍， 为了绕过运

2、营商对SP服务定制审核，他们公司就曾经 和黑客合作，通过发送优惠促销短信的方式进行“病 毒式”营销。“方法倒也简单，就是短信里面含有优 惠促销的链接，用户一旦点击链接登录网站，就会在 后台默认定制我们的SP服务。 一切都在不知不觉中进行， 而定制服务每个月也不过几 元的话费，一般用户很难察 觉。几千万条短信发出去， 就算只有千分之几的用户点 击，我们公司一个月也能有 几十万的收入，绝对是本小 利大的生意。”主要内容网上支付安全风险与安全需求网上支付安全协议三、网上支付安全技术二、网上支付的安全风险控制措施一、四、一、网上支付安全风险与安全需求1、网上支付的安全风险密码管理问题黑客攻击大部分公司

3、或个人密码设置过于简单，甚至在所有网站上使用的都是同一个密码。建议密码不要设置 为姓名、生日 、电话号码等 简单密码结合大小写字 母、数字符号 等共同组成密 码，且位数尽 量大于9一、网上支付安全风险与安全需求1、网上支付的安全风险密码管理问题黑客攻击钓鱼网站 建立假网站诱骗客户输入账号密码 发送钓鱼邮件，引诱客户访问键盘记录 通过木马植入监视用户操作，进而 窃取密码嵌入浏览器执行 屏幕“录像” 窃取数字证书 伪装窗口 动态改变用户浏览页面内容，使用 户登录到没有安全控件保护的页面记录用户鼠标和键盘操作记录通过木马记录客户保存证书流程， 复制证书文件，非法使用通过木马记录客户保存证书流程， 复

4、制证书文件，非法使用10万余基金半夜被转移 “您的网上银行账户*基金已转账“24日凌晨两点多， 马先生和妻子被不断发来的这类短信吵醒。半夜了电脑已关 ，自家人没操作电脑，密码只有自己知道，咋会有网上银行 的基金被转账的怪事?夫妻俩睡意全无，赶紧上网查看，果然 发现多笔基金被分次转到他人账户。 张先生的开户行在小寨十字，24日早上，马先生急忙到开 户行所在地小寨路派出所报案，被告知要到居住地所在派出 所报案。马先生又来到东关南街派出所，被告知还得到开户 行所在地报案。张先生担心被转账的账户将钱取走，就先到 银行处理此事。记者赶到银行后，工作人员将张先生的网银 交易记录打出来，确实发现：23日，有

5、5000元现金在“上海环 讯电子商务“消费，另有基金被转出的记录。 点击陌生网址泄露网银信息 随后，该银行办公室、个人金融部的两名工作人员来 到小寨十字营业点了解情况。 24日下午，银行进一步调查发现：马先生的妻子刘女士在 23日下午上网聊天时，有一个陌生QQ号发给她一个网址 ，她点击进入，看到是一个开户行所在银行的网站，上面 宣称可销售电话卡，只要汇入指定账户一元，再输入个人 的网上银行账号、密码，验证身份后，就能做电话卡的销 售代理。刘女士按照提示一步步操作，没想到就这样泄露 了个人的网银信息。 直到此时，马先生和妻子才得知自己因链接陌生网址泄露 网银信息，二人追悔莫及。一、网上支付安全风

6、险与安全需求2、网上支付的信用风险由于网络虚拟性，支付双方难 以客观判断对方信用等级，容 易产生信用怀疑，阻碍网上支 付进行。 西方国家信用制度已经很健全 ，我国仍处于起步阶段，信用 环境仍需加强一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力问题法律责任分担问题黑客的法律约束对客户和银行，法律效力一般不会 出现问题，但是对于电子支票和电 子现金，因为其与传统法律有一定 抵触，效力存在一定争议。一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力问题法律责任分担问题未经授权使用的银行卡支付所造成的 损失由谁承担？ 消费者？商家？还是银行？黑客的法律约束一、网上支付安全风险与

7、安全需求3、网上支付的法律风险法律效力问题法律责任分担问题法律的约束力对黑客来讲抵不过巨大 利益的诱惑，法律的惩罚力度和技术 的进步都是比不可少的。黑客的法律约束一、网上支付安全风险与安全需求网上 支付 的安 全需 求 网络上资金数据流的保密性相关网络支付结算数据的完整性网络上资金结算双方身份的认定支付结算行为不可抵赖性支付系统运行稳定快捷二、网上支付安全风险控制措施保障支付结算信息的机密性、完整性、不可否认性不可拒绝性和访问控制性 能够经常测试安全状态 能够对可能的风险作出基本评估 系统的的安全被破坏后能够尽快恢复工作 应用相应法律法规保护安全利益安全风险控制目标 二、网上支付安全风险控制措

8、施安全风险控制原则 （1）预防为主原则。 （2）根据网上支付结算的安全需要和目标来制定安全策略原则。 （3）多人负责原则。 （4）任期有限原则。 （5）职责分离原则。二、网上支付安全风险控制措施安全风险控制措施加快认证中心建设，统一数字证书加强网上支付安全信用体系建设完善相应的法律法规明确监管制定，加强金融监管客户加强自我安全保护1、核对网址，保管好密码和数字证书。 2、对异常动态提高警惕 3、使用安全正版的防毒软件和防火墙， 并及时更新。 4、限制无关人员靠近个人计算机，使用 完网银后及时推出并清理上网痕迹。 5、核实交易方身份，保留交易记录三、网上支付安全相关技术主要知识点了解 并 掌握

9、访问 控制 技术 的原 理与 应用 了解 并 掌握 数据 机密 技术 的原 理与 应用 了解 并 掌握 数据 抵赖 技术 的原 理与 应用 了解 并 掌握 身份 认证 技术 的原 理与 应用 熟练 使用 网上 支付 系统 安全 技术 工具 一二三四五三、网上支付安全相关技术一访问控制技术与应用1.访问控制概述网络支付平台系统的构成客户机银行专网Intranet电子 商务服务器Internet 支付网关 访问控制是在保障授权用户获取所需资源的同时，拒绝 非授权用户访问的机制。 是在身份认证的基础上，根据身份的合法性对提出的资 源访问请求加以控制 在用户身份已得到认证的前提下，限制主体对访问客体

10、的访问权限，访问控制目的是“你能做什么，你有什么 样的权限”。 身份认证防止非法用户进入系统； 访问控制防止合法用户对系统资源的非法使用 三、网上支付安全相关技术一访问控制技术与应用1.访问控制概述三、网上支付安全相关技术一访问控制技术与应用访问控制的三要素 v主体（Subject）：发出访问操作、存取要求的主动方，通常为进程、程序或用户。 v客体（Object）：被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统 或各种网络设备、设施等资源。1.访问控制概述v授权：授权是资源的所有者或者控制者准许其他主体 访问这种资源，访问控制就是一种加强授权的方法 三、网上

11、支付安全相关技术一访问控制技术与应用访问控制的主要过程1.访问控制概述v 规定需要保护的资源，即系统中被访问的对象（ 如文件、程序、存储器等），也就是确定客体。v 规定可以访问该资源的主体（通常是一个人，但 有时也可能是一个程序或进程）；确定客体 规定主体 规定可执行 操作 v 规定可以对该资源执行的操作（如读、写、执 行或不允许访问）；确定安全 方案v 通过确定每个实体可对哪些资源执行哪些动作来 确定该安全方案。 三、网上支付安全相关技术一访问控制技术与应用访问控制系统的基本组成1.访问控制概述主体访问控制实施单元访问控制决策单元客体提交访问 请求提出访问 请求请求决 策决 策三、网上支付安

12、全相关技术一访问控制技术与应用2.防火墙技术与应用（1）什么是防火墙？ 我们现在讲的防火墙（Fire Wall）是最典型的访问控制 产品。是一个由软件和硬件组合而成的隔离设备，设置在 不同网络（如可信任的企业内部网不可信任的公共网）或 网络安全域之间的保护屏障。防火墙的最初含义：辞海上说“防火墙：用非燃烧 材料砌筑的墙。设在建筑物的两端或在建筑物内将建筑 物分割成区段，以防止火灾蔓延。” 三、网上支付安全相关技术2.防火墙技术与应用防火墙的应用示意图：Internet防火墙系统（堡垒主机+路由器等）企业内部网（如Intranet）非安全网络安全网络三、网上支付安全相关技术防火墙 的功能一、双向

13、监控功能 由内部安全的Intranet到外部不安 全的Internet的访问和由外到内的 访问都必须通 过防火墙的过滤二、设置安全控制机制 设置用户认证等安全控制 机制，只有本地安全策略所定义的合法访问才被允许通过。三、本身无法被穿 透 防火墙本身应无法被 穿透四、明确Intranet边界能够保护站点不被任意连接总结并记录有关正在进行的 连接资源、服务器提供的通信量， 及试图闯入者的企图。（2）防火墙的功能 三、网上支付安全相关技术2.防火墙技术与应用 （3）防火墙的组成：Internet 不安全网络网关 外部过滤器 内部过滤器Intranet 安全网络 防火墙的基本组成框架三、网上支付安全相

14、关技术2.防火墙技术与应用电子商务中防火墙与Web服务器的配置方式Internet 不安全网络Web 服务器Intranet 安全网防火墙+路由器业务Web服务器放在防火墙之内的配置图三、网上支付安全相关技术2.防火墙技术与应用电子商务中防火墙与Web服务器的配置方式Internet 不安全网络Web 服务器Intranet 安全网防火墙+路由器业务Web服务器放在防火墙之外的配置图三、网上支付安全相关技术2.防火墙技术与应用（3）防火墙的种类：目前按防火墙采用的技术分类，主要有包过滤型防火墙、代理 服务器型防火墙（应用级防火墙）、状态检测型防火墙等。 a包过滤型防火墙Internet包过滤防

15、火墙 +路由器Intranet包过滤式防火墙应用原理示意图缺点：不能鉴别不同用户和 防止IP地址盗用，即对应用 层缺少保护，且数据包的源 地址、目的地址和IP地址的 端口号都在数据包头部，易 被窃取和假冒优点：不需任何额 外费用，对用户透 明，应用简单，处 理速度快，效率高 ，易于维护三、网上支付安全相关技术2.防火墙技术与应用b代理服务器型防火墙（应用级防火墙）工作在应用层，通过对应用服务器提供代理程序来实现监视 和控制应用层的通信流，亦称为应用级防火墙客户 访问请求 防火墙代理客户 代理 访问 控制 服务器 代理 服务器 转发请求 应答 转发应答 代理服务器型防火墙应用原理示意图缺点：性能

16、差，速 度慢，不允许用户 直接访问网络，透 明性差，成本高优点：比包过滤型 防火墙更安全、可 靠，能够详细记录 所有访问状态信息三、网上支付安全相关技术2.防火墙技术与应用c 状态监测型防火墙 使用一个在网关上执行网络安全策略的软件模块，称为 监测引擎，是第三代防火墙技术。应用原理：在不影响网络安全正常工作的前提下，采用抽取相关数据的 方法对网络通信的各层实施监测，抽取状态信息，并动态的 保存起来，作为执行安全策略的参考。三、网上支付安全相关技术2.防火墙技术与应用（4）防火墙的优缺点：优点：1、遏制来自Internet各种路线的攻击 2、借助网络服务选择，保护网络中脆弱的易受 攻击的服务 3、监视整个网络的安全性，具有实时报警提醒 功能 4、作为部署NAT的逻辑地址 5、增强内部网中资源的保密性，强